Domande con tag 'http'

domande con tag
1
risposta

Test dell'autenticazione di base con ncrack

Sto conducendo alcuni test di base sulla penna su una pagina protetta con l'autenticazione di base. Ho testato con successo con Medusa e Hydra ma sto facendo fatica a ottenere la sintassi corretta per ncrack. La sintassi che ho usato di solit...
posta 10.05.2014 - 19:47
2
risposte

Come si mantiene l'autenticazione di base HTTP tra le pagine visualizzate?

Ho familiarità con il funzionamento di base di Auth HTTP, ma come tiene traccia dell'autenticazione tra le visualizzazioni di pagina? Vedo che non viene creato alcun cookie quando si verifica l'autenticazione iniziale.     
posta 26.06.2014 - 15:24
1
risposta

Se Access-Control-Allow-Origin dovrebbe essere specifico per il dominio

Infosec ci ha raccomandato di usare questa intestazione: Access-Control-Allow-Origin:http://domainA.mycompany.com,http://*.mycompany.com Ma possiedo anche il dominio: http://domainB.mycompany.com Quindi, se io uso solo Ac...
posta 08.03.2014 - 03:48
2
risposte

È pericoloso consentire le richieste HTTP con lunghe sequenze di query in IIS?

Sto sviluppando un sito Web con una funzione di ricerca che potrebbe generare richieste HTTP di caratteri molto lunghi (fino a 15.000). Tuttavia, IIS ha un limite predefinito di 2048 caratteri per querystrings. Questo può essere facilmente modif...
posta 25.09.2012 - 00:13
2
risposte

Cookie HTTPOnly: la sicurezza dipende dalla collaborazione con i clienti?

Ho implementato la gestione delle sessioni HTTPOnly basata sui cookie e ho alcune domande su cosa HTTP . Mi rendo conto che è una bandiera che viene passata nell'intestazione HTTP quando si impostano i cookie. Mi rendo anche conto che la ma...
posta 18.02.2013 - 02:54
2
risposte

Divulgazione e codici di stato HTTP

Dichiarazione di non responsabilità: sì, ho controllato Quali codici di stato HTTP sono interessanti dal punto di vista della sicurezza? che suona rilevante ma non del tutto. In questi giorni dovrebbe essere una buona pratica non divulgare...
posta 12.04.2015 - 23:46
3
risposte

Solo IP su HTTP GET

Considera il seguente scenario: c'è un client dietro un firewall molto rigido. Non c'è quasi nulla disponibile per "connettersi a internet". Solo la risoluzione DNS e HTTP / HTTPS (alcuni siti autorizzati come Google possono essere visitati, alt...
posta 14.04.2015 - 14:34
1
risposta

Garantire la comunicazione

Il problema: Ho un client open source (un componente aggiuntivo di Firefox scritto in JavaScript) e un server che contiene informazioni utente abbastanza sensibili: nome utente e cronologia utente (tutto da YouTube). Il client è in grado di a...
posta 02.04.2012 - 05:04
2
risposte

Perché tornare correttamente alle origini non consentite

A quanto ho capito, con CORS, su richieste di origine incrociata, il browser invierà un'intestazione Origin , e se l'origine non è consentita, il server invierà ancora una risposta 200 con un non -matching Access-Control-Allow-Origin...
posta 13.04.2018 - 10:45
1
risposta

L'applicazione di un regolamento CSP (Embedded Content Security Policy) rovina un CSP "normale"?

Recentemente ho letto una bozza di lavoro del W3C sull'applicazione integrata di una politica di sicurezza dei contenuti (CSP). This document defines a mechanism by which a web page can embed a nested browsing context if and only if it agre...
posta 22.06.2017 - 15:20